Social Engineering mit Schwerpunkt Informationsschutz

In der heutigen Geschäftswelt kommt den immateriellen Werten, in Form von Daten und Know-how, eine besondere Bedeutung zu. Diese Werte unterliegen speziellen Risiken, bei denen der Mensch eine tragende Rolle spielt. Informationsabflüsse aufgrund von unsensiblem Verhalten oder dem fahrlässigen Umgang mit IT-Systemen können zu großen Schäden führen.

Im Sinne eines ganzheitlichen Sicherheitskonzepts sind daher auch menschliche Faktoren in eine Prüfung einzubeziehen.

Ein entsprechendes Social Engineering Assessment kann verschiedene Ausprägungen umfassen: 
  • Erfragen vertraulicher Informationen via Telefon oder E-Mail
  • Einschleusung von Trojanischen Pferden (ohne Schadfunktionen) mittels individuell gestalteter E-Mails und Dateianhängen mit dem Ziel, einzelne Client-Systeme exemplarisch zu infizieren (Spear Phishing)
  • Positionierung manipulierter Datenträger im Unternehmen mit dem Ziel, Zugriffe auf den Datenträger nachzuweisen (Road Apple)

Die beschriebenen Aktivitäten im Bereich des Informationsschutzes lassen sich mit einem Assessment im Bereich Zutrittsschutz kombinieren.